Puis-je désactiver le cryptage intégral du disque?
J'ai récemment installé Ubuntu 12.10 et il nécessite un mot de passe pour démarrer (je l'ai installé avec un système de fichiers crypté).
Dois-je réinstaller pour passer à un système de fichiers standard non chiffré?
Si Ubuntu demande une phrase secrète de chiffrement au démarrage (c'est-à-dire sur la console de saisie du texte avant l'affichage de l'écran de connexion), cela signifie qu'une méthode de chiffrement intégral du disque a été utilisée. (Il y a plus d'une façon de faire cela, mais je vais garder la réponse générale.) Le cryptage est géré par une couche logicielle supplémentaire entre le système de fichiers et le disque dur physique, et non par le système de fichiers lui-même.
Il n'y a pas de méthode ou d'outil simple pour annuler cela. Avec quelques connaissances sur le fonctionnement des systèmes Linux, cela peut être fait. Vous devez déplacer l'ensemble du système de fichiers (ou tous les fichiers) vers une autre partition (avec suffisamment d'espace libre) ou un disque dur externe. Ensuite, supprimez le conteneur chiffré et recréez le système de fichiers sans chiffrement. Enfin, assurez-vous que le nouveau système de fichiers est correctement reconnu par le chargeur de démarrage et par mount -a avant de redémarrer.
Si possible, évitez cette procédure fastidieuse et sujette aux erreurs. Il suffit de faire une nouvelle installation. Pour les nouveaux utilisateurs, c'est l'option la plus rapide et la plus sûre.
PS: Il est probable que vous puissiez modifier la phrase secrète de cryptage, éventuellement en une chaîne vide. Ensuite, le déchiffrement ne nécessite que d'appuyer sur Entrée. Peut-être que vous pouvez aller plus loin et supprimer le mot de passe complexe (maintenant inutile). Cependant, cela ne désactive pas le cryptage. Les données seraient toujours cryptées bien que le cryptage serait inutile puisque la clé peut être devinée trivialement.
Ci-dessous, c'est ma solution qui a fonctionné. N'oubliez pas que je ne suis pas un spécialiste Linux, ce n'est donc peut-être pas la meilleure solution. Impossible de trouver un meilleur de toute façon.
Migration de l'installation FDE vers une partition non chiffrée
NOTE: Chaque fois que je dis, je veux dire
/dev/sda1 - boot partition
/dev/sda5 - encrypted partition
/dev/sda3 - clean non-encrypted EXT4 partition
/dev/sda2 - my newly created swap partition
Copier des données à partir d'un système de fichiers racine chiffré
Démarrez à partir d'un CD live. J'ai utilisé ISO de bureau Ubuntu 13.10 32 bits.
Montez votre partition:
Sudo cryptsetup luksOpen /dev/sda5 crypt1
Copiez vos données source sur la partition de destination et enregistrez le pd dd en variable pid:
Sudo dd if=/dev/ubuntu-vg/root of=/dev/sda3 bs=1M & pid=$!
Cela envoie une requête ping à chaque deuxième processus dd avec le signal USR1 et le statut des résultats dd:
while Sudo kill -USR $pid; do sleep 1; done
Alternative à la surveillance DD
Si vous n'aimez pas la méthode 'while while' ci-dessus, vous pouvez utiliser watch. Ouvrez une fenêtre de terminal différente et obtenez le PID:
pgrep -l '^dd$' | awk '{ print $1 }'
Remplacez par votre identifiant de processus:
watch kill -USR1 <pid>
Vous devriez voir une sortie dans votre terminal dd chaque 2s.
Configuration du nouveau système de fichiers racine et des nouvelles partitions
Quand c'est fait, vous pouvez monter votre partition non-incrémentée pour voir si tout va bien:
Sudo mount /dev/sda3 /mnt
Après cela démontez votre partition:
Sudo umount /dev/sda3
Libérer la partition cryptée:
Sudo cryptsetup luksClose /dev/sda5
Run gparted. Supprimez votre partition LUKS (à la fois étendue et logique). Redimensionnez votre/dev/sda3 et déplacez-vous vers la gauche. Créer une partition d'échange.
Remarque: le déplacement de votre/dev/sda3 à gauche peut prendre beaucoup de temps. Pour moi, cela a pris 30 minutes sur une partition de 120 Go et un lecteur SSD. Si vous avez 500 Go + disque dur, préparez-vous à attendre quelques heures. Vous voudrez peut-être créer un swap avant votre partition au lieu de déplacer votre/dev/sda3.
Créez un nouveau système de fichiers swap sur votre partition swap:
Sudo mkswap /dev/sda2
et stocker quelque part le UUID.
Obtenez votre UUID de partition root:
Sudo blkid /dev/sda3
Editer le fstab:
Sudo nano /etc/fstab
Supprimer ou commenter les lignes overlayfs et tmpfs.
Ajouter une ligne en remplaçant par blkid result:
UUID=<uuid_root> / ext4 errors=remount-ro 0 1
UUID=<uuid_swap> none swap sw 0 0
Effacer le fichier:
rm /etc/crypttab
Mettez à jour votre initramfs pour éviter les erreurs telles que "cryptsetup: evms_activate n'est pas disponible":
Sudo -i
mount /dev/sda3 /mnt
mount -t proc none /mnt/proc
mount -o bind /sys /mnt/sys
mount -o bind /dev /mnt/dev
mount /dev/sda1 /mnt/boot
chroot /mnt /bin/bash
apt-get remove --purge cryptsetup
update-initramfs -u -k all
Notes finales et dépannage
Cela a fonctionné pour moi, mais il y a des chances pour que faire ci-dessus étape par étape ne fonctionne pas pour vous. Avant de comprendre la méthode update-initramfs, je réinstallais le noyau plusieurs fois et modifiais également grub. Cependant, cela ne devrait pas être un cas pour vous. Rappelez-vous que les instructions ci-dessus peuvent effacer vos données, aussi soyez prudent et faites BACKUP, AVANT procéder que.
Juste au cas où vous auriez des problèmes avec le noyau (chrooté et/boot monté):
uname -r
Sudo apt-get install --reinstall linux-image-3.X.Y-ZZ-generic
Bien sûr, remplacez linux-image-3.X.Y-ZZ par la date de noyau de votreame.
ou GRUB (en dehors du chroot):
Sudo add-apt-repository ppa:yannubuntu/boot-repair && Sudo apt-get update
Sudo apt-get install -y boot-repair && (boot-repair &)
Plus de détails: https://help.ubuntu.com/community/Boot-Repair
Bonne chance
S'il est correct de conserver le chiffrement, mais pour désactiver l'invite de phrase secrète, une approche beaucoup plus simple consiste à définir un mot de passe trivial, tel que "mot de passe", puis à enregistrer ce mot de passe trivial dans initramfs en texte clair. Désactivez le mot de passe de cryptage LUKS .
Essentiellement, ajoutez un script hook qui ajoute à son tour un "keyscript" aux initramfs. Habituellement, ces scripts sont utilisés pour obtenir le mot de passe via Bluetooth, à partir d'une clé USB, etc., mais dans ce cas, il suffit d'imprimer le mot de passe trivial.